微软发布关键安全更新,修复了 Microsoft Office 中的三个严重漏洞,这些漏洞可能允许攻击者在受影响系统上执行远程代码。这些漏洞编号为 CVE-2025-53731、CVE-2025-53740 和 CVE-2025-53730,影响多个版本的 Microsoft Office,对全球企业和个人用户构成重大安全风险。
**核心要点** 1. Office 严重漏洞可通过文档预览实现代码执行 2. 所有 2016-2024 版 Office 均受影响,数百万用户面临风险 3. 补丁已于 8 月 12 日发布,应立即安装
释放后使用漏洞
新披露的漏洞源于释放后使用(use-after-free)内存损坏问题,在通用缺陷枚举(CWE)数据库中归类为 CWE-416。
CVE-2025-53731 和 CVE-2025-53740 均被评定为"严重"级别,CVSS 基础评分为 8.4;而影响 Microsoft Office Visio 的 CVE-2025-53730 被评定为"重要"级别,CVSS 评分为 7.8。这些漏洞具有相似的攻击模式,未经授权的攻击者可利用内存管理缺陷在目标系统本地执行任意代码。
技术规格显示,两个严重漏洞的 CVSS 向量字符串均为 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C,表明攻击复杂度低、无需特权且无需用户交互即可利用。尤其令人担忧的是,预览窗格成为 CVE-2025-53731 和 CVE-2025-53740 的攻击媒介,这意味着用户仅需预览恶意 Office 文档就可能遭到入侵。
受影响范围
这些漏洞影响广泛的 Microsoft Office 产品,包括 Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024 以及 32 位和 64 位架构的 Microsoft 365 企业应用。Mac 用户同样面临风险,Microsoft Office LTSC for Mac 2021 和 2024 版本需要立即更新。全球企业和消费环境中数百万用户受到广泛影响。
安全研究人员 0x140ce[LLMole]、李爽和 Vulnerability Research Institute 的 willJ,以及 Zscaler ThreatLabz 的研究人员通过协调披露流程发现了这些漏洞。微软安全响应中心(MSRC)确认这些漏洞均未被公开披露或在野外利用,可利用性评估从"不太可能被利用"到"被利用可能性较低"不等。
| CVE 编号 | 漏洞名称 | CVSS 3.1 评分 | 严重等级 |
|---|---|---|---|
| CVE-2025-53731 | Microsoft Office 远程代码执行漏洞 | 8. 4 | 严重 |
| CVE-2025-53740 | Microsoft Office 远程代码执行漏洞 | 8. 4 | 严重 |
| CVE-2025-53730 | Microsoft Office Visio 远程代码执行漏洞 | 7. 8 | 重要 |
缓解措施
微软已为所有受影响 Office 版本发布全面安全更新,其中 KB5002756 更新针对 Office 2016 版本。对于较新的 Office 版本,更新通过 Click-to-Run 机制提供,详细信息可通过微软官方安全发布渠道获取。鉴于漏洞的严重性和预览窗格可能被利用的风险,企业应优先立即部署这些更新。
安全团队应建立全面的漏洞管理计划,不仅限于传统的补丁管理,还应整合威胁情报源和主动监控入侵指标(IOCs)。
参考来源:Microsoft Office Vulnerabilities Let Attackers Execute Malicious Code Remotely
